4月21日,工信部发布《关于侵害用户权益行为的APP(SDK)通报(2025年第1批,总第46批)》。根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,工信部对APP、SDK违法违规收集使用个人信息等问题开展治理,经组织第三方检测机构进行抽查,共发现52款APP及SDK存在侵害用户权益行为。
涉及问题主要包括:超范围收集个人信息;违规收集个人信息;违规使用个人信息;APP 频繁自启动和关联启动;应用分发平台上的APP 信息明示不到位;APP 强制、频繁、过度索取权限;信息窗口乱跳转;信息窗口无法关闭;SDK 信息公示不到位等。
存在隐私合规类问题的APP或SDK主要集中在 “实用工具、医疗健康,娱乐游戏、运动健身” 等应用类型。
工信部最新通报揭露的52款违规APP及SDK,从医疗健康到运动健身,侵害用户权益的触角已延伸至日常高频场景。超范围收集信息、强制索权、窗口乱跳转等问题频发,暴露出数字服务与隐私保护的失衡隐忧。
当前,国家正在重拳整治乱象,筑牢公民信息安全防线。面对合规刚需,企业亟需主动破局。梆梆安全提供专业的移动应用合规平台,深度融合政策法规与技术创新,覆盖Android、iOS等多系统的静态代码深度解析与动态行为实时监测,依托自动化检测体系与专家研判机制,快速定位隐私风险与权限滥用漏洞。
梆梆安全移动应用合规平台
梆梆安全移动应用合规平台,借助深度定制化的检测沙箱、利用自动化脱壳、应用自动化遍历及人工深度辅助测试等技术,全面发现应用权限信息、集成第三方SDK信息,动态行为信息、通过场景化分析,发现应用潜在的隐私合规问题,帮助用户发现应用违规行为并输出合规评估报告及整改建议。
一 核心价值
二 应用场景
1. 监管机构
构建标准化检测体系,强化市场规范化治理,遏制违规收集处理个人信息行为,切实保障公民个人信息安全权益,可支撑监管单位输出权威性合规检测报告,快速筛查辖区应用。
2. 测评机构
为企业、开发运营者提供应用合规性技术检测服务,基于专业检测框架输出合规评估报告,系统识别潜在合规漏洞并提出整改路径规划,助力企业防范因数据违规引发的法律风险与商誉危机。
3. APP/SDK开发运营者
在应用上架前实施全量合规性自检,精准定位产品存在的合规缺陷,针对性实施合规性修复方案,有效规避因违规问题导致的应用下架风险及用户权益纠纷。
4. 应用分发平台
完善应用准入审查体系,实现不合规应用实时发现、拦截,切实履行《个保法》《个保合规审计办法》等规定的平台法定义务,通过技术治理手段维护平台生态合规性。
数字经济正在高速发展,移动应用深度融入用户生活与业务场景,但安全威胁也在同步升级:
·漏洞风险方面:某金融企业因使用存在已知漏洞的开源组件,遭投毒攻击导致千万级用户数据泄露;
·信息泄露方面:某AI平台因在代码库中硬编码API令牌,导致超12000个有效凭证泄露,涉及AWS、Slack等核心服务;
·代码安全方面:某应用使用了免费加固,未进行充分的安全防护,导致重要代码泄漏,同时被监管部门通报整改。
随着安全威胁持续升级,从知识产权侵权、用户隐私泄露到国家信息安全危机,安全事件后果呈链式放大。企业亟需系统性发现应用存在的安全隐患,在这一过程中也面临着多维度的风险与挑战。
监管高压:法规收紧与常态化监管
随着《网络安全法》《数据安全法》等法律法规的持续完善,国家信息安全技术标准、行业检测规范要求陆续出台,应用上线需通过严苛检测。同时,监管机构建立常态化审查机制,企业若不重视安全审计将面临通报整改、重罚甚至关停。
能力短板:开发者安全意识不足
移动应用安全防护存在技术壁垒,普通开发者往往难以系统性识别代码漏洞与第三方组件风险,更缺乏深度评估能力与安全防护经验。而专业安全人才供给不足且成本高昂,导致企业规模化应用的安全检测需求难以有效覆盖。
渗透测试局限:漏洞覆盖不全
快节奏开发中,部分企业开发人员没有较强的安全开发背景,简单的人工渗透测试难以发现隐蔽漏洞,导致防护体系存在盲区。
开源隐患:组件迭代严重滞后
据《2024年开源安全和风险分析报告》显示,91%的代码库所包含的组件,已经过时四年以上或者在过去两年中没有维护。使用过时的开源组件不仅加剧漏洞风险,还可能引发功能或兼容性问题。
在安全威胁复杂化与监管刚性化的双重夹击下,企业亟需高效、专业的技术支撑。梆梆安全依托十年攻防实战经验,搭建了全方位、多角度、精准定位、深度挖掘安全漏洞的的应用安全测评平台,以自动化检测+精准修复方案,助力企业低成本实现安全测评。
梆梆安全应用安全测评平台
平台深度融合静态代码扫描与动态行为检测技术,覆盖Android、iOS、混合鸿蒙、鸿蒙NEXT、小程序、Android及iOS SDK等全链条、多形态的应用安全检测能力,提供配置安全、数据安全、程序安全、通信安全四大维度超百项检测项,全方位检测应用中存在的代码安全问题,快速评估应用安全状况,帮助企业快速定位风险源头并输出详细修复方案,确保应用上线前“漏洞清零”,减少应用安全隐患。
一 核心价值
二 应用场景
1. 应用上线前安全检测
在应用发布前了解APP风险漏洞情况,提前修复严重漏洞,实现版本选代过程中的安全把控,保证上线应用安全,降低应用受到安全攻击从而泄露数据或被恶意操作的风险。
2. 应用安全过检
企业:基于甲方要求或上级监管单位要求,需要出具应用安全检测认证报告,在送检前,自行对应用做安全检测,有助于应用快速过检。
检测机构:根据国家的标准规范,对企业送检的产品进行检测并发放合格证书。3. 应用安全准入检测
应用商店厂商或相关单位建立类似应用市场的软件发布平台,针对入驻该平台的应用进行安全核查,核查通过后入驻平台,保障该平台上应用的安全发布与上线。
4. 应用安全普查/审查
基于业务需求及安全法规要求,需对辖区移动应用实施批量安全检测并生成指导性整改报告。为落实监管职责,监管机构或其他政府部门需采用高效技术工具提升应用审查效能,通过自动化分析手段辅助被测单位精准定位风险,实现合规化治理目标。
在移动应用面临安全风险的持续演变下,威胁维度呈现多源交织态势。为此,梆梆安全即将启动“产品季”限时免费试用活动——通过应用安全测评平台,助您快速评估应用安全状况,辅助企业开发者针对风险漏洞进行代码的自查和修复。
不知道你小时候脑海中是否冒出过这样的想法:怀疑自己是外星人,与周围人相比只有自己是独一无二的存在。但问题是你又怎么证明自己存在呢?
法国哲学家笛卡尔的观点是:“我思故我在”。
原文链接:https://mp.weixin.qq.com/s/r3un61GEUK9q8xfkG5HAsA
HW行动是国家级网络安全攻防演练,每年企业都将面临真实威胁的考验。攻击者常伪装成系统升级、扩容、备案通知等钓鱼邮件,诱导员工点击恶意链接。
《2024中国企业邮箱安全性研究报告》显示,升级/扩容类钓鱼邮件占比高达25.0%。CACTER反钓鱼演练服务,通过模拟攻击、员工培训、漏洞修复全流程,帮助企业筑牢安全防线,轻松应对HW行动挑战!
真实案例:一次疏忽大意损失的不止是数据
2024年11月,某知名制造业公司员工小王在垃圾邮件箱中发现了一封“备案升级通知”。为了确保邮箱正常使用,他立即点击链接,输入了账号和密码进行“备案”。
第二天邮件管理员通知小王,他的邮箱对外发送了数万封垃圾邮件。管理员已经将他的邮箱锁定。小王这才意识到,自己已经中了钓鱼邮件的圈套。这次疏忽不仅让企业信誉受损,还影响了业务的正常开展。
案例源自《2024中国企业邮箱安全性研究报告》
小王的遭遇并非个例。升级/扩容类钓鱼邮件已经成为攻击者常用的手段之一。
这类邮件通过伪装成系统通知,诱导员工点击恶意链接,从而获取账号信息,进而发起进一步的攻击。
避坑指南:三步识别“真假邮件”
面对 HW 行动期间的高强度攻击,普通员工如何快速辨别此类伪装钓鱼邮件?CACTER小助手来给大家几招:
1. 认清系统通知邮件发信人域名
假:发件人@qq.com、@163.com或拼写相似的仿冒域名
真:发件人@company.com(公司域名)
2. 识别备案、升级等都是钓鱼话术
假:使用邮箱备案、安全升级、邮箱搬家、幽灵账号(长期无人使用的账号)清理等借口,要求用户通过指定链接进行登录的,都是钓鱼邮件。
真:IT部门或网络安全部门会要求员工正常登录自己的邮箱系统后再进行安全操作或升级操作。
3. 谨慎对待垃圾邮件中的信息
攻方会故意将邮件投放到垃圾邮箱,利用用户 "垃圾邮件 = 无害" 的心理放松警惕。
正确操作:对垃圾箱邮件坚持 "三不原则"—— 不点击链接、不下载附件、不回复信息!
CACTER反钓鱼演练服务:HW行动终极“护盾“
CACTER反钓鱼演练服务通过高仿真实战训练,帮助企业提前发现并修复邮件安全漏洞,提升员工的安全意识:
·丰富的演练场景模板:100+基础场景模板,覆盖系统升级、扩容、商业诈骗等热门主题,还可根据客户实际情况和时事热点定制主题。
·覆盖钓鱼邮件全类型:支持链接型、附件型、二维码型等多种钓鱼邮件类型,全面模拟真实攻击场景。
·支持发信来源伪造:支持发信人伪造及发信域名伪造,提升钓鱼邮件辨识难度,适用于高威胁场景演练。
·专业的分析报告:演练后,将输出专业的分析报告,从多个维度分析用户演练结果,用户行为趋势一目了然
In a development that could transform vulnerability research, security researcher Matt Keeley demonstrated how artificial intelligence can now create working exploits for critical vulnerabilities before public proof-of-concept (PoC) exploits are available. Keeley used GPT-4 to develop a functional exploit for CVE-2025-32433, a critical Erlang/OTP SSH vulnerability with a maximum CVSS score of 10.0. This exploit […]
The post ChatGPT Creates Working Exploit for CVE’s Before Public PoCs Released appeared first on Cyber Security News.
1 理财类App需防止黑客通过逆向工程窃取用户交易数据,如何利用运行时保护技术确保核心业务逻辑的安全性?
2 医疗健康类App因未明确告知用户基因数据使用范围被用户大量投诉,从而导致被监管机构通报,如何快速检测其个人信息收集行为是否符合个保法的'最小必要'原则?
3 跨境电商类App计划新增直播互动功能,如何通过自动化检测其音视频流是否存在弱加密或中间人攻击风险?
如果您的移动应用正面临代码反编译、协议破解等安全风险或正在遭遇个人信息保护、数据安全等合规审查压力,别担心,2025年度“梆梆产品季”为您保驾护航让您的APP扛得住逆向破解与合规审查!
梆梆产品季限时福利
参与评论互动,赢取梆梆安全春促超值礼包!
“说说您对梆梆产品季有哪些期待?”
大家可在“梆梆安全”官方公众号评论区分享“您的期待”,截至5月12日12:00,点赞量TOP5的优质评论用户,每位可获得“梆梆安全春促大礼包”1份,行业权威报告、移动应用技术干货等书籍文献,以及定制周边等精美礼品应有尽有!
说明:活动结束后,获奖用户ID将在梆梆安全官方公众号统一公布,请及时关注并留意相关推送信息。(每个ID不可重复领取,最终解释权归梆梆安全所有)